Come si blocca il traffico bit torrent con un Cisco ASA?

13

Ho fatto riferimento a un vecchio articolo Cisco esterno su come bloccare il traffico Bit Torrent a cui si fa riferimento online qui

Questa procedura che ho trovato funziona solo il 50% delle volte.

Trovo il blocco delle porte specifiche di bit torrent, e facendo il regex funziona, semplicemente non cattura tutto il traffico. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

e 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Qualcuno ha regex più aggiornato per trovare il traffico bit torrent? O è questo il limite dell'ASA in questo momento?

cisco  cisco-asa 
Blake
fonte
Credo che questo sarebbe il limite di ASA in questo momento. Altre appliance UTM utilizzano "un modulo applicativo (basato su IPS)" e possono bloccarlo correttamente. Tuttavia, sono sicuro che puoi farlo anche tu, ma usando un modulo IPS collegato all'ASA.
LAF

Risposte:

14

<joke> Scollegalo </joke>

I client Bittorrent possono (e fare) usare porte casuali. Il blocco delle porte comuni incoraggerà solo gli utenti a spostarsi su porte diverse. Inoltre, il traffico tra client ha supportato la crittografia già da alcuni anni - originariamente come mezzo per limitare le interferenze ISP - rendendo irriconoscibile il traffico ptp effettivo.

Cercare "info_hash" nella comunicazione client-tracker, sebbene in qualche modo efficace, è anche facilmente sconfitto. (tor, ssl, vpn, ecc.) Inoltre non fa nulla per fermare gli sciami senza tracker (DHT), peer-exchange (PEX), protocollo UDP tracker ...

Se sei riuscito a uccidere il 50%, considera fortunato. Questo è un gioco di Whack-a-Mole che non puoi vincere.

Ricky Beam
fonte
9

Configuralo in modalità proxy trasparente per tutti i protocolli applicativi supportati e consenti solo connessioni proxy. Qualsiasi protocollo sconosciuto fallirebbe incluso BitTorrent. Il tunneling SSL per BitTorrent non è fattibile, quindi HTTPS non è un buco troppo grande. Fondamentalmente lasciare passare qualsiasi connessione instradata che non è stata approvata da L7 farà passare BitTorrent.

Monstieur
fonte
Scommetto che molte cose si romperanno con questo metodo. Che dire di limitare il numero di connessione, una volta che il numero di connessione da un host x colpisce x, uccidere tutte le sue connessioni per y secondi. Questo è un modo efficace per scoraggiare gli utenti dall'utilizzare il trasferimento di file p2p. Esistono software / dispositivi di sicurezza / controllo che possono farlo. Non sono sicuro di ASA tho.
sdaffa23fdsf,
Esistono altre soluzioni che vanno al limite, come interrogare il tracker e inserire nella blacklist tutti i peer. Se si tratta di un ambiente di ufficio, solo gli utenti fidati dovrebbero avere accesso a qualsiasi cosa diversa da HTTP (s). Per il resto, il proxy HTTP trasparente non avrà alcun effetto negativo e l'accesso routing / NATed può essere concesso caso per caso.
Monstieur il
In che modo il tunneling SSL è "impossibile"? Ti rendi conto che molte VPN sono solo una connessione SSL. Gli utenti hellbent sull'uso di BT sarà trovare un modo attraverso i vostri tentativi di bloccare loro.
Ricky Beam,
Il tunneling TCP ad alta larghezza di banda su SSL si scioglierà rapidamente fino al punto in cui non è più un porco di larghezza di banda. L'endpoint del tunnel esterno sarebbe l'indirizzo IP visibile come client Torrent e non l'indirizzo della tua azienda.
Monstieur,
-1

Una soluzione per questo è di limitare il traffico Torrent creando un set specifico di Control list. Soure Port e Destination IP (i tuoi pool IP).

Escludere le porte per servizi comuni come RDP (Desktop remoto 3389), VNC, HTTP 8080 (sottotitoli a 80)

engineerbaz
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.